Verhaltensmuster analysieren

Wenn der Angreifer bereits im Netzwerk ist

Seite: 2/2

Firma zum Thema

Verhaltensmuster und Kontext analysieren

Mit anderen Worten: Etablierte Schutzmechanismen, die beispielsweise den Datenverkehr prüfen oder Ereignisprotokolle und Benutzerkonten auf unberechtigte Zugriffe hin analysieren, reichen heute nicht mehr aus. All diese Maßnahmen sind wichtig – aber sie erkennen nicht, wenn ein Angreifer sich im Netzwerk eingenistet hat und im Kontext von Benutzerkonten nur Dinge macht, die diese Benutzer dürfen.

IT-Sicherheit muss heute darüber hinausgehen und auch auf die Veränderung der Verhaltensmuster von Benutzern reagieren. Dabei geht es nicht um die vollständige Überwachung aller Aktivitäten von Benutzern, sondern um eine bessere Erkennung von Änderungen in Verhaltensmustern.

Wenn ein administratives Konto bisher nur gelegentlich für ganz bestimmte Aufgaben verwendet wurde, auf einmal aber regelmäßig außerhalb der regulären Arbeitszeit für deutlich umfassendere Zugriffe eingesetzt wird, ist das eine Abweichung vom gewohnten Muster. Diese muss erkannt und analysiert werden, weil sie auf einen Angriff hindeutet.

Verhaltensbasierte Zugriffskontrolle

Inzwischen gibt es eine Reihe von Systemen, die solche umfassenderen Analysen durchführen können, bei denen aktuelle Nutzungsdaten mit historischen Daten verglichen werden. Zum einen gibt es spezialisierte Lösungen im Bereich Identity und Access Management (IAM).

Diese prüfen eben nicht mehr nur gelegentlich die Zugriffsberechtigungen, sondern erkennen vielmehr ungewöhnliche Bewegungsmuster – zunächst einmal natürlich anonymisiert. Solche Lösungen sind teils auf die gesamten Benutzer, teilweise aber auch nur auf spezielle Zugriffe wie hoch privilegierte Benutzer ausgerichtet.

Auf der anderen Seite gibt es nun eine wachsende Zahl von Systemen, die nicht nur Regeln auf die aktuellen Ereignisse anwenden, sondern auch komplexe Musteranalysen durchführen können, um Anomalien zu entdecken. Als Weiterentwicklung von SIEM (Security Information and Event Management) stellen solche „Realtime Security Intelligence“-Lösungen ein zentrales Element von zukünftigen IT-Sicherheitsinfrastrukturen dar.

Die bisherigen Ansätze für IT-Sicherheit reichen heute nicht mehr aus. Man muss davon ausgehen, dass sich Angreifer jederzeit im Unternehmen einnisten können und dann im Kontext vorhandener Benutzerkonten agieren. Darauf müssen die Sicherheitsmechanismen ausgerichtet sein – und hier kommt der Analyse von Anomalien und Verhaltensänderungen regulärer Benutzerkonten eine besondere Bedeutung zu.

* Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

(ID:43168139)